最近在做幾個 App / API 安全檢測的案子時,有一個很明顯的感受:
多數安全問題,其實不是高難度漏洞,而是「基本檢查沒有做」。
很多團隊一提到資安,就會想到大型工具、紅隊演練或昂貴的滲透測試,但在實務上,只要用幾個很簡單的方法,就能在早期抓出 70% 以上的常見風險。
這篇整理的是我自己在專案中常用的一套「快速安全自檢流程」,不需要特殊設備,也不需要資安背景,開發或 QA 都可以做。
1.檢查 API 是否能被直接呼叫(Authentication / Authorization)
現在幾乎所有 App 都是 API-driven architecture,所以第一件事我一定會先看:
API 是否真的有做完整驗證。
常見測試方式:
- 用 Postman / curl 直接呼叫 API
- 移除 Authorization header
- 修改 request body 的關鍵參數
- 嘗試未登入情境呼叫 API
我實際遇過不少案例是:
- Token 過期仍然可用
- 某些 endpoint 忘記加 middleware
- staging / testing API 沒有限制存取
這類問題通常不是技術難,而是流程缺失。
2.檢查 API 回傳資料是否過多(Excessive Data Exposure)
這是非常常見,但也非常容易被忽略的問題。
例如一個「取得使用者資料」的 API,前端只需要:
- name
- avatar
但 backend 卻回傳:
- phone
- internal_id
- role
- last_login_ip
這種情況在開發階段很方便,但在 production 其實是風險來源。
一個簡單原則:
API response 應該是「最小必要資料」,而不是「完整資料」。
3.測試權限是否真的有被驗證(Broken Access Control)
如果只能選一個最常見的漏洞,我會選:
Broken Access Control
也是 OWASP Top 10 長期排名第一的問題。
我自己常用幾個快速測試:
- 把 request 裡的
user_id改成別人的 - 嘗試存取不同角色的 endpoint
- 用一般帳號呼叫 admin API
- 嘗試直接存取 object ID
如果系統只檢查:
user_id == token.user_id但沒有檢查 resource ownership,就很容易出現資料外洩。
4. 檢查登入與 Session / Token 管理
登入流程通常是整個系統最容易被攻擊的入口。
我會特別看幾個點:
- Token 有沒有 expiration
- refresh token 是否可撤銷
- 是否有限制登入嘗試次數
- 是否有 login notification
- logout 後 token 是否真的失效
有些系統 technically 有做驗證,但安全性仍然很弱,例如:
- JWT 永遠不過期
- 沒有 rate limiting
- 沒有異常登入偵測
這些都會讓帳號被暴力破解的成本大幅下降。
5.檢查本地資料儲存(Mobile / Frontend)
如果是 Mobile App 或 Web SPA,我一定會看:
- LocalStorage / SharedPreferences
- SQLite
- Cache
- Log
常見問題包括:
- Token 明文儲存
- API key 被 hardcode
- Debug log 包含敏感資訊
- 密碼或 session 被寫入 local storage
很多時候,攻擊者甚至不需要攻擊 server,只要拿到裝置,就能直接取得資料。
為什麼我會建議先做這些?
因為在實務上,多數漏洞:
不是複雜
而是「沒有被檢查」
而這些檢查:
- 不需要昂貴工具
- 不需要資安專家
- 不需要長時間測試
但效果非常好。
如果要再往上走,可以考慮這些:
- Penetration Testing
- API Security Testing
- RBAC / Permission Model Review
- SAST / DAST 自動化掃描
- Security Code Review
這些就屬於比較完整的安全成熟度建設。
安全不是一個工具,而是一個習慣。
也不是一次性專案,而是一個流程。
很多嚴重漏洞,其實都可以在開發早期用 10 分鐘發現。
這也是我自己在做系統設計時,會優先建立的一個基本檢查清單。
#資安
#API安全
#應用程式安全
#資安檢測
#安全設計
#DevSecOps
#權限控管
#安全流程
[ Telegram ] [ Contact Us ] [ Email:[email protected] ]